abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 19:11 | Nová verze

    Po roce byla vydána nová stabilní verze 25.6.0 svobodného multiplatformního multimediálního přehrávače SMPlayer (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    dnes 12:55 | IT novinky

    DNS4EU, tj. evropská infrastruktura služeb DNS založená na vysoce federovaném a distribuovaném ochranném ekosystému, byla spuštěna v testovacím režimu [𝕏]. Na výběr je 5 možností filtrování DNS.

    Ladislav Hagara | Komentářů: 13
    včera 22:44 | IT novinky

    Skriptovací programovací jazyk PHP (PHP: Hypertext Preprocessor, původně Personal Home Page) dnes slaví 30 let. Přesně před třiceti lety, 8. června 1995, oznámil Rasmus Lerdorf vydání PHP Tools (Personal Home Page Tools) verze 1.0.

    Ladislav Hagara | Komentářů: 7
    7.6. 23:55 | Humor

    Ve středu v 17:00 byl ve Francii zablokován přístup k PornHubu a dalším webům pro dospělé. K 17:30 došlo k nárůstu počtu registrací Proton VPN o 1 000 % [𝕏]. Dle nového francouzského zákona jsou provozovatelé těchto webů povinni ověřovat věk uživatelů prostřednictvím průkazu totožnosti nebo platební karty.

    Ladislav Hagara | Komentářů: 38
    6.6. 19:44 | Zajímavý článek

    Před 32 lety, 6. června 1993, byl spuštěn první český WWW server (ještě pod TLD .cs), pro potřeby fyziků zabývajících se problematikou vysokých energií.

    Ladislav Hagara | Komentářů: 7
    6.6. 16:11 | Zajímavý software

    Střílečku Borderlands 2 lze v rámci výprodeje série Borderlands na Steamu získat zdarma napořád, když aktivaci provedete do 8. června 19:00.

    Ladislav Hagara | Komentářů: 11
    6.6. 15:11 | Nová verze

    Byla vydána nová verze 2.22 svobodného video editoru Flowblade (GitHub, Wikipedie). Přehled novinek v poznámkách k vydání. Videoukázky funkcí Flowblade na Vimeu. Instalovat lze také z Flathubu.

    Ladislav Hagara | Komentářů: 0
    5.6. 15:00 | Komunita

    Canonical Launchpad vypíná systém správy verzí Bazaar. Vývojáři mohou své repozitáře do 1. září přemigrovat na Git.

    Ladislav Hagara | Komentářů: 9
    5.6. 13:22 | Nová verze

    Byla vydána nová verze 2.53.21 svobodného multiplatformního balíku internetových aplikací SeaMonkey (Wikipedie). Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 3
    5.6. 12:33 | Komunita Ladislav Hagara | Komentářů: 30
    Jaký je váš oblíbený skriptovací jazyk?
     (54%)
     (32%)
     (8%)
     (2%)
     (0%)
     (0%)
     (3%)
    Celkem 234 hlasů
     Komentářů: 16, poslední včera 21:05
    Rozcestník

    DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved

    16.9.2021 02:32 | Přečteno: 1614× | poslední úprava: 16.9.2021 04:28

    Dneska mi provider poněkud zkur*vil DNSku pod nohama, a jak se říká, nouze naučila Dalibora housti...

    Po nemilém zjištění, že /etc/resolv.conf je již dnes považován za passé (toto samozřejmě neplatí pro Debian, čest jim), jsem prskaje nechutí nastudoval něco málo ze systemd-resolved a se štěstím se mi podařilo nakonfigurovat ho tak, aby používal DNS servery nic.cz a zároveň s DNSSEC a DNS-over-TLS. Nejsem si jist, jak moc je to nové nebo užitečné, ale když už jsem to zjistil, tak to dávám k dispozici.

    Stačí oeditovat /etc/systemd/resolved.conf a změnit tyto čtyři řádky:

    DNS=193.17.47.1#odvr.nic.cz
    FallbackDNS=185.43.135.1#odvr.nic.cz
    DNSSEC=yes
    DNSOverTLS=yes
    

    Po restartování systemctl restart systemd-resolved by se už měl stroj ptát na DNS dotazy NICu a jako drobný bonus bude to spojení šifrované. Není to žádná výhra samo o sobě, ale každá kapka šifrování se hodí.

    EDIT: DNSOverTLS=yes může způsobit problém, pokud je potřeba občas dynamicky přidat další DNS, třeba pro VPNku - pokud to další DNSko nepodporuje TLS, nebude vůbec fungovat; v takovém případě nezbývá než nastavit DNSOverTLS=opportunistic, s tím, že TLS se použije jen tehdy, pokud to jde - samozřejmě to otvírá dveře možnosti downgrade útoku :-(

    Děkuji za pozornost.

           

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Jendа avatar 16.9.2021 10:25 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    toto samozřejmě neplatí pro Debian, čest jim
    A jak to teda funguje v jiných distribucích? Já myslel, že program (resp. jeho glibc) se podívá do /etc/nsswitch.conf a /etc/resolv.conf a pak se zeptá DNS serveru, který takto najde. Fungovalo to takhle dříve a co se teď změnilo?

    Jediné, co je poslední dobou populární je, že si spustíš nějakou službu, která /etc/resolv.conf spravuje - to vždycky dělal DHCP klient (dává to smysl, pokud chceš používat DNS servery sítě kterou konfiguruješ přes DHCP, a jde to vypnout), pak existoval resolvconf (jehož důvod defaultní přítomnosti na různých Raspbianech jsem nepochopil) a teď se občas dělá to, že se spustí lokální DNS server a do /etc/resolv.conf se zapíše ten. To má spoustu výhod (DNSSEC, možnost použití „soukromých“ TLD a split-horizon DNS třeba ve VPN, cachování) i nevýhod (je to komplikovanější). Uživatelská aplikace ale stále používá ten původní mechanismus dotazování serveru, který si přečetla v /etc/resolv.conf.

    No a Debian s tím souvisí jenom tak, že defaultně tyhle věci neinstaluje/nezapíná.
    16.9.2021 12:20 marbu | skóre: 31 | blog: hromada | Brno
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    +1 Funguje to imho pořád stejně.

    Při nasazení systemd-resolved je /etc/resolv.conf symlink na /run/systemd/resolve/stub-resolv.conf, který systemd-resolved generuje dynamicky.
    There is no point in being so cool in a cold world.
    Bluebear avatar 16.9.2021 15:06 Bluebear | skóre: 30 | blog: Bluebearův samožerblog | Praha
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Se systemd-resolved to je tak, že spouští vlastní lokální DNS server a do /etc/resolv.conf potom dá odkaz na tento (tedy skutečně jedna z možností, které jsi zmiňoval).

    Manuál k systemd-resolved ovšem považuje pouhé čtení /etc/resolv.conf za legacy, protože Pravý Moderní Kód(tm) by se měl dotazovat přes lokální message bus přímo resolved. :) Aspoň tak jsem to pochopil. Ale původní metoda stále chodí (taky by asi vyprovokovali lynč, kdyby to nepodporovali).

    Jedna ze skvělých věcí na debianu je, že řada těchto věcí je opt-in, jak by to mělo být; řada jiných dister je v tomto ohledu ale dosti nekompromisní.
    To mi připomíná, jak jsem si pořídil květináč, že v něm budu mít květinu. Opravdu tam byla, ale potom být přestala...
    16.9.2021 23:04 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Jo. A pak nám klienti píšou, že máme špatně nastavené nameservery. Skutečnost: ta systemd sračka při dopředném překladu vytimeoutuje na překladu reverzu. (No dobře, přibližně, už si přesně nepamatuju, proč se tam tomu člověku ten překlad reverzu dělal, jenom že to rozhodně nebylo potřeba.)

    Hm, tak jsem si to našel. Při práci s poštou (IMAP) se pixla rozhodla, že k něčemu potřebuje reverzy IMAP serveru. Proč? Těžko říct. Každopádně milej systemd rozhodl, že dvě sekundy je na odpověď od DNS serveru dost (v ideálním světě by to tak bylo, v reálném ne) a že cache pro negativní odpovědi je buržoazní přežitek. A klient (životný) nemohl pracovat s poštou, protože poštovní klient (neživotný) čekal a čekal a čekal a čekal.
    Quando omni flunkus moritati
    17.9.2021 08:17 j
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    To vis, to je tak, kdyz neco vymejsli neytelygentnejsi clovek na planete ... ;D

    On totiz kupodivu kdyz nekdo chce lokalni dns, tak si pusti lokalni dns, ale 99% lidi(a adminu) rozhodne nechce provozovat lokalni dns na kazdym stroji, uz jen proto, ze to je dalsi bezpecnostni dira a v tomhle pripade doslova a dopismene jak doprdele.

    ---

    Dete s tim guuglem dopice!
    17.9.2021 10:34 MP
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Nevim do ceho kopete. 2s timeout je i default pro resolv. A jak jsem si vsiml, resolv ani zadnou cache nema.

    Max avatar 18.9.2021 01:08 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Cache pro negativní odpovědi považuji za nejhorší vymoženost. Je to první věc, které se zbavuji.
    Zdar Max
    Měl jsem sen ... :(
    19.9.2021 13:38 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Když myslíte, že je lepší se na to samé ptát furt dokola, tak proti gustu...
    Quando omni flunkus moritati
    Max avatar 20.9.2021 01:30 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Přijde mi to nespolehlivé. Několikrát jsem řešil nefunkčnost některých služeb a vždy to bylo kvůli tomu, že se do negativní cache dostala nějaká doména. Jestli to způsoboval nějaký zlobící prvek, už přesně nevím.
    Zdar Max
    Měl jsem sen ... :(
    20.9.2021 12:10 _
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    nemluv sám se sebou Jirko
    16.9.2021 15:46 Vantomas | skóre: 32 | Praha
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Má stále DNSoverTLS tu vlastnost, že je pořád otevřený jeden šifrovaný tunel s dlouhou životností? Trpělo to potom na to, že když se resolvnulo něco co ztotožnilo uživatele, tak se k němu dají přiřadit všechny ostatní requesty ze session.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.